К списку форумов К списку тем
Регистрация    Правила    Главная форума    Поиск   
Имя: Пароль:
Рекомендовать в новости

Странный шифратор, кто нибудь сталкивался ?

med
0 - 26.05.2016 - 08:40
У знакомых на работе словили вирусяру, судя по всему шифровальщик. Но я с таким впервые столкнулся. Он прибил все .... ert - ешки больше ничего не тронул, но вместо всех внешних обработок "email-trojanencoder@aol.com.ver-CL 1.2.0.0.id-TGTVVIZDCSMDSICSTIBQGVPETJCRHWPEUJDS-30.03.2016 16@54@314970843.randomname-LTLILABVI...ARPGSJ.APB.cbf"
причем еще прикол - было несколько самописных и часть из них была названа на русском языке - они остались нетронутыми, а те которые латиницей - так же прибиты...
Никто не сталкивался ? Что за 1С-ненавистник появился ? Причем ненавистник 7-ки....



1 - 26.05.2016 - 09:29
Именно с таким не сталкивался, сталкивался с plague17. Этот, помимо ерт, зашифровал и дбф.
101
2 - 26.05.2016 - 10:09
(0) поиском поисковать не пробывал ?
http://virusinfo.info/showthread.php?t=189999&

https://forum.kaspersky.com/lofivers...p/t338806.html
Гость
3 - 26.05.2016 - 11:22
"Все фигня, если не война. И война фигня".
Несколько правил гигиены:
1. Всегда (слово обозначает именно "всегда", а не что-то вроде "когда время будет") работайте под ограниченными (не "админскими") правами.
2. Не отключайте UAC (простое и удобное средство встроенной защиты).
3. Не открывайте кликом вложенные файлы в почтовике! Особенно зипованные. Офисные могут содержать макросы. Считываем в отдельную папку, смотрим содержимое зип-файла архиватором. Офисные - с запретом на макросы. Иначе макрос должен быть предварительно объявлен, а автор документа известен.
Гость
4 - 26.05.2016 - 11:38
Уточнение к (3) п.2: "(...) Особенно исполняемые, в т.ч., зипованные"
Гость
5 - 26.05.2016 - 11:40
Тьху, п.3 :)
med
6 - 26.05.2016 - 12:07
Цитата:
Сообщение от 101 Посмотреть сообщение
да мне это как то ... до лампочки...
просто прикольно - кто то конкретно на 1С 7,7 ополчился....
7 - 26.05.2016 - 12:37
(6) думаю, что чисто бизнес... если не осталось копий внешних отчётов, то люди заплатят дешифровальщику деньги
Гость
8 - 26.05.2016 - 12:43
Цитата:
Сообщение от med Посмотреть сообщение
кто то конкретно на 1С 7,7 ополчился....
Бенефициар этого вируса один и имя его все знают.
Начинал с угроз "сбивать палками", мантрами про устаревшую систему,
обещал снять с поддержки и отменить таблицу умножения.
Угрозы не возымели эффекта.
Теперь перешел к акциям прямого действия - бабла-то не хватает.
Дидосит потихоньку неугодные ресурсы руками своего подельника по овносайту.
Вирусы эти продаются, есть рынок.
Запросто мог купить и доржику своему скормить ...
9 - 26.05.2016 - 12:44
7-Гена >Согласен. Ибо внешние отчеты нередко не включают в бекапы, ограничиваются стандартной схемой.
Гость
10 - 26.05.2016 - 12:58
а мне понравилось -

На вопрос, почему у нас понос? Как лечить?
некто VZ отвечает - носите с собой горшок
Гость
11 - 26.05.2016 - 14:07
10-Helen1986 > Ну полечи RSA...
Чего лечить? Голову, которая открывает исполняемый файл от неведомого адреса? Так это раньше надо, когда пациент еще в пеленках все в рот тащил.
Макросы? Да им уже лет 20, как минимум, с Word-6 первые попёрлись.

Эти "шифровальщики" вовсе не какие-то там хитромудрые черви, продирающиеся через серьёзную настройку безопасности, и подделующие сертификаты, это то, что называется "социальная инженерия". А проще - ловля лоха на живца. Замучаешься его спасать.
Просвещение и профилактика - вот рецепт. А необучаем... Что ж, такие всегда найдутся. Пусть ездят на такси, нанимают секретаршу, и самостоятельно гвоздь в стенку не забивают.
Гость
12 - 26.05.2016 - 17:14
Наверное база была открыта поэтому открытые файлы dbf cdx не зашифровались
Гость
13 - 26.05.2016 - 19:47
12-i_mak > Даже в "чистой" базе полно файлов, которые не держаться открытыми постоянно. От readme. до Extforms, набитом всяким барахлом. И можно сразу понять, на что нацелен "шифровальщик". На БД-ы 77? легко: ищем каталоги с .md. Только вот таких каталогов должно быть несколько. Даже если забыть про копии и апдейты. Бо даже в единственной и неповторимой БД мд-ника - две штуки. Так что определить "цель" зловреда - как два байта прочитать.
Хотя описание ситуевины - невнятно совсем, да.
14 - 26.05.2016 - 21:37
Цитата:
Сообщение от VZ Посмотреть сообщение
Просвещение и профилактика - вот рецепт. А необучаем... Что ж, такие всегда найдутся. Пусть ездят на такси, нанимают секретаршу, и самостоятельно гвоздь в стенку не забивают.
и остерегаются!

главное - остерегаться!

15 - 26.05.2016 - 22:15
почему-то те, кто ездит на такси, нанимают секретаршу и самостоятельно гвоздь в стенку не забивают - чувствуют себя намного лучше...
16 - 26.05.2016 - 22:22
15-Buhta >У каждого свой уровень проблем. И те, кто имеет (в хорошем смысле) секретаршу, имеют и проблемы соответствующие. Кому-то файлы восстанавливать, а кому-то от ОБЭП бегать.
17 - 26.05.2016 - 22:44
Цитата:
Сообщение от Странный аттрактор Посмотреть сообщение
У каждого свой уровень проблем
естесственно. и каждый решает свои проблемы в меру своего уровня, а остальное чисто по желанию :)
med
18 - 27.05.2016 - 06:54
Цитата:
Сообщение от i_mak Посмотреть сообщение
Наверное база была открыта поэтому открытые файлы dbf cdx не зашифровались
Кстати очень может быть - база действительно была открыта
Цитата:
Сообщение от Странный аттрактор Посмотреть сообщение
Ибо внешние отчеты нередко не включают в бекапы, ограничиваются стандартной схемой.
Ну тут проблем не было - база DBF поэтому кроме обычных хранятся еще оперативные копии за последние 7 дней - целиком архивы каталогов базы, так что извлечь оттуда ert шники большого труда не составило. Просто как я уже говорил удивило efd-шники остались, ert-шники которые названы по русски остались... как будто искались файлы по маске и по шрифту ...
101
19 - 27.05.2016 - 09:44
имхо - проба пера ....
20 - 27.05.2016 - 20:31
(0) нет. и не стремлюсь.
получается система не тронута (работоспособна). мягкий такой ненавязчивый отъём денег. заплати мол лучше сейчас, или хуже будет.
21 - 27.05.2016 - 20:31
ибо что не зашифровано - не значит не заражено.
Гость
22 - 27.05.2016 - 21:00
21-Зелёный тролль > "Почтовый шифратор" только шифрует. Фотки, видео, потом все, до чего дотянется. Если клиент работает пол локальным админом, то - до многого чего.
Схема: Зараженный файл загружает шифратор (с сервера, или облака), формирует рандом ключ, и начинает шифровать все, до чегодотягивется. Одновременно формируется сообщение для клиента (кудп платить). Шифратор самоуничтожается при остановке. Схема постоянно совершенствуются. Цены держаться умеренными. Мыло долго не живет, так что сроки - это от момента запуска в сеть,а не от момента срабатывания.
Правоохренители не помогут, увы.
Так шта... Спасение утопающих - забота самих утопающих.
23 - 27.05.2016 - 23:10
Цитата:
Сообщение от VZ Посмотреть сообщение
Цены держаться умеренными
с меня просили 30. Это так, для сверки цен.
Гость
24 - 28.05.2016 - 02:22
23-Странный аттрактор > Сам не платил, личного опыта нет. Меры предпринял сразу же после появления первой версии (не RSA).
Полагаю, что услуги частной расшифровки вообще мало кому доступны.
25 - 28.05.2016 - 12:54
А мне вот интересно: почему шифровальщики не научились ещё шифровать данные в лок. сети? Подумаешь, комп ГБ издох, тоже мне, потеря.. А так, открыла она письмо: "Арбитраж завершился не в вашу пользу, выписка с заседания суда в приложении", и вся локалка легла. Ну или, по крайней мере, расшаренные на RW папки с БД. Вот это был бы успех.
И ещё: почему Касперские/Даниловы/етс не реагируют никак? Что, трудно задетектить процесс шифрования и спросить, в курсе ли происходящего юзер?
26 - 28.05.2016 - 14:31
Цитата:
Сообщение от Странный аттрактор Посмотреть сообщение
почему шифровальщики не научились ещё шифровать данные в лок. сети?
да давно уже шифруют. "все расшаренные на rw папки".
одни мои клиенты истчо в 2014 году такого шифровальщика ловили. он им по сети все расширения док, хлс, жипег, зип, рар зашифровал. В общем, почти все, что было во всех расшаренных каталогах.
27 - 28.05.2016 - 14:46
Цитата:
Сообщение от Блондинка в шок Посмотреть сообщение
да давно уже шифруют. "все расшаренные на rw папки"
"Эх.. А я думал, что самый умный..
Тогда другой вопрос: шифровальщики работают по маске? Может, будет уместным на всякий случай архивы переименовывать в архивТакойТо.123?
Гость
28 - 28.05.2016 - 14:56
25-Странный аттрактор > Во-первых, локальные сети (ко времени появления "шифровальщиков") уже были защищены хотя бы стремлением не разводить бардак. И были закалены предыдущими поколениями вирусов. И сеть более устойчива: она распределенная устройствами. И корпоративный клиент, в общем-то, просто опаснее когда обидится.
Во-вторых, касперскиеданиловы реагировать умеют только на что-то типовое. Первую версию "шифровальщиков" ("Ваш компьютер заблокирован. Для разблокировки получите код блаблабла") они реагировали: помещали на своих сайтах списки этих самых кодов. Но следующая версия (с RSA) стала им не по зубам. Даже обладая методами взлома - нужны очень значительные ресурсы. Одно дело: вскрыть переписку какого-нить посольства, совсем другое - массовая услуга взлома для восстановления частных коллекций "Как я провел с Машей это лето". Тот, кто может заплатить, тот может и обратится с частным заказом к криптоаналитику (достаточно редкая профессия).
А "задетектить"? Это как? Контролировать все компьютеры? Все-все почтовые сервера обязать просматривать почту? Нарушать приватность?
Так это возможно только при свирепой диктатуре. Которая подстригает мозги под один фасон. И, как следствие, эта страна просто гибнет: съедят.

Ничего страшного. Это все-го лишь очередной урок взросления. Кто его усвоит - тот будет готов к следующим атакам на приватность. А нет так нет.
29 - 28.05.2016 - 22:21
Цитата:
Сообщение от VZ Посмотреть сообщение
А "задетектить"? Это как? Контролировать все компьютеры? Все-все почтовые сервера обязать просматривать почту? Нарушать приватность?
да зачем так сложно-то? Стоит антивирус, детектит процессы. Началось шифрование - ахтунг! Подозрительная активность. Не Вы ли шифруете данные? (да/нет). По-моему, вполне рабочий вариант.
30 - 28.05.2016 - 22:24
Цитата:
Сообщение от VZ Посмотреть сообщение
Ничего страшного. Это все-го лишь очередной урок взросления.
Я волнуюсь за коммерческое состояние антивирусописателей. Первый антивирус, детектирующий шифровальщика, ждёт оглушительный успех.
Гость
31 - 29.05.2016 - 00:15
29-Странный аттрактор > "Стоит антивирус, детектит процессы. Началось шифрование - ахтунг! Подозрительная активность" - с чего это вдруг "подозрительная"? Процесс инициализирован пользователем. Царем природы. Повелителем Вселенной. Процесс обыденный: Царь природы решил зашифровать свои данные. Соответствующие разрешения в браузере прописаны...

"Первый антивирус, детектирующий шифровальщика, ждёт оглушительный успех" - или коммерческий провал. Ибо "шифровальщик" - это не чудо-технология, а цыганская хитрость. "Социальная инженерия". Такая же, как и "нигерийские письма".
Как только задействуют тяжелую артиллерию, шифровальщик злодеи просто бросят. И как оправдать расходы на разработку?
32 - 29.05.2016 - 11:28
Цитата:
Сообщение от VZ Посмотреть сообщение
с чего это вдруг "подозрительная"?
а почему бы и не объявить эту деятельность таковой, раз повод есть?
Цитата:
Сообщение от VZ Посмотреть сообщение
Как только задействуют тяжелую артиллерию, шифровальщик злодеи просто бросят. И как оправдать расходы на разработку?
Да какие там расходы? Поставить галочку: "детектирование шифрования", и всё. Они больше теряют на утере доверия, нежели потратятся на разработку.
33 - 29.05.2016 - 11:35
(32) "Поставить галочку: "детектирование шифрования", и всё" - угу это только так кажется. С точки зрения компьютера шифрование ничем не отличается от редактирования файла программой специально запущенной пользователем, той же 1С: открытие файла - чтение - запись.

Другое дело, что писатели антивирусов могли бы ввести фишку ограничения доступа к файлам только "доверенным" (разрешенным) приложениям: для DOC - Word, для XLS - Excel, для 1CD - 1C и так далее.

Почему они этого не делают, лично мне не понятно. Впрочем, у Касперского вроде можно настроить доступ к определенным типам файлов только приложениям из папки Program Files, в кторую запись шифраторов можно легко пресечь.
34 - 29.05.2016 - 11:36
1С много чего вытворяет и не утратила доверия. И господа антивирусники не утратят
35 - 29.05.2016 - 12:54
Цитата:
Сообщение от Ткачик Посмотреть сообщение
С точки зрения компьютера шифрование ничем не отличается от редактирования файла программой
т.е., шифрование как процесс нельзя вычленить?
36 - 29.05.2016 - 13:00
Цитата:
Сообщение от USSR Посмотреть сообщение
1С много чего вытворяет
она-то, может, и вытворяет, но базовые функции выполняет чётко. А тут антивирус не справляется со своей первостепенной задачей.
Гость
37 - 29.05.2016 - 14:08
33-Ткачик > Угу. Только вот Ворды всякие умеют запускать макросы на VBScript (и все хорошее через CreatObject()), А 1С умеет присоединять ВК через замечательную vkloader.dll. В режиме ограниченного пользователя. Ну, и СоздатьОбЪект() на двух языках никто не запретил. Да-с.

Функционал с такими дырками будет просто обманывать юзеров ложными надеждами.
38 - 29.05.2016 - 15:03
Мы хотим совместить несовместимое или как говорят "м рыбку сьесть и ...". Хотим работать в открытой вему и всем операционной системе Windows (которая по своей сути является большой и малоконтролируемой помойкой файлов) и безопасность. Да еще чтобы дядюшки Нортон или Касперский нам эту безопасность обеспечили. Хочется безопасности - есть другие машины, другие операционки, другие прикладные решения. Ну а иначе, уж кто как умеет. А Касперский по моему многое спрашивает, разрешить ли, но многое и пропускает
Гость
39 - 29.05.2016 - 16:41
38-USSR > "которая по своей сути является большой и малоконтролируемой помойкой файлов" - ты просто не в курсе. А по серверным - особенно.


К списку вопросов
Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск




Copyright ©, Все права защищены